个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我看到建议将轮数设置为 ($currentYear - 2000) 以解释摩尔定律,因此 2013 年将是 13 轮,因此2^13 总迭代次数。当然,您需要考虑您自己的硬件以确保它不会花费太长时间(我看到 1 秒 被推荐为检查密码/哈希值的“安全”,并且大约需要 13 轮在我当前的硬件上做标记)。
对于社交网络类型的网站来说,这听起来合理吗?或者我是否会在将来使用 ($currentYear - 2000) 设置自己的密码检查速度非常慢?
此外,您如何处理将轮数从一年更改为下一年?改变轮数不会改变哈希值,因此不允许您在 2014 年检查 2013 年的哈希值,因为检查会使用额外的一轮?您是否必须每年重新计算每个散列,或者它究竟如何工作?
最佳答案
首先,我质疑该建议(根据年份调整成本)。成本应该基于你的硬件有多快,而不是当前日期。如果从现在到 2015 年不升级服务器,就没有理由增加成本。您所做的只是让本来就很慢的过程变慢。
话虽如此,我也对大多数情况下 1 秒的建议提出质疑。如果您处理的是高度敏感的信息,1 秒(或更长)就可以了。但对于普通网站,我通常建议在 0.25 到 0.5 秒之间。在某些情况下,您可以降低价格,但如果没有充分的理由我不会这样做。
现在,回到问题本身。当您使用 crypt()或 password_hash() ,迭代计数以返回哈希格式存储。事实上,盐也是如此。所以计算散列所需的所有信息都包含在其中!
如果您没有使用这些 API(或我维护的 polyfill:password-compat),那么我真的很想知道您为什么不使用。不要发明自己的密码加密。不要使用使用 native 哈希的库(如 phpass),除非你有充分的理由(出于某些政府合规性原因,或与 PHP <= 5.2 的兼容性)。
普遍认为bcrypt是当今最强的哈希格式。 SCrypt 更强大,但也有一些问题,而且它仍然很新(并且在 PHP 核心中尚不可用)。所以只需使用 bcrypt...
password_hash() api 有一种机制可以让你做你想做的事:password_needs_rehash() .基本上,您传入哈希和您今天使用的选项,它会告诉您是否需要重新哈希:
if (password_verify($password, $hash)) {
if (password_needs_rehash($hash, PASSWORD_BCRYPT, ['cost' => 14])) {
$hash = password_hash($password);
update_password_in_database($hash);
}
$loggedin = true;
}
阅读RFC for password_hash()有关它的更多信息(我从大量来源收集数据,并在 RFC 中包含引用)。
Criminals don't stop upgrading their crackingboxes just because you didn't upgrade your server. You do need to increase the work parameter over time to thwart offline attacks.
有点真实。嗯,是的,但没有捕获我上面所说的重点。
散列函数的成本参数是时间-努力的权衡。您权衡了一些时间来为每个哈希添加额外的工作。在相同的硬件上,花费更多的时间会产生更多的工作。产生更多工作的另一种方法是获得更快的硬件。
但建议是在您当前的硬件上测试哈希函数,并使其尽可能昂贵。如果 0.5 秒是您今天可以承受的最大值,除非您升级服务器硬件,否则增加成本对您有何帮助?简而言之,它不会,因为您将打破您已经确定的最长时间限制很重要。
因此,除非您已经在生成弱哈希,否则您不能在不增加服务器功能的情况下增加工作参数。
关于php - 如何持续保持与当年硬件相关的 bcrypt 轮数?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15662729/
25
4
0
我在 JavaScript 文件中运行 PHP,例如...... var = '';). 我需要使用 JavaScript 来扫描字符串中的 PHP 定界符(打开和关闭 PHP 的 )。 我已经知道使
我希望能够做这样的事情: php --determine-oldest-supported-php-version test.php 并得到这个输出: 7.2 也就是说,php 二进制检查 test.
我正在开发一个目前不使用任何框架的大型 php 站点。我的大问题是,随着时间的推移慢慢尝试将框架融入应用程序是否可取,例如在创建的新部件和更新的旧部件中? 比如所有的页面都是直接通过url服务的,有几
下面是我的源代码,我想在同一页面顶部的另一个 php 脚本中使用位于底部 php 脚本的变量 $r1。我需要一个简单的解决方案来解决这个问题。我想在代码中存在的更新查询中使用该变量。 $name)
我正在制作一个网站,根据不同的情况进行大量 PHP 重定向。就像这样...... header("Location: somesite.com/redirectedpage.php"); 为了安全起见
我有一个旧网站,我的 php 标签从 因为短标签已经显示出安全问题,并且在未来的版本中将不被支持。 关于php - 如何避免在 php 文件中写入
我有一个用 PHP 编写的配置文件,如下所示, 所以我想用PHP开发一个接口(interface),它可以编辑文件值,如$WEBPATH , $ACCOUNTPATH和 const值(value)观
我试图制作一个登录页面来学习基本的PHP,首先我希望我的独立PHP文件存储HTML文件的输入(带有表单),但是当我按下按钮时(触发POST到PHP脚本) )我一直收到令人不愉快的错误。 我已经搜索了S
我正在寻找一种让 PHP 以一种形式打印任意数组的方法,我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
这个问题已经有答案了: 已关闭11 年前。 Possible Duplicate: What is the max key size for an array in PHP? 正如标题所说,我想知道
我正在寻找一种让 PHP 以一种形式打印任意数组的方法,我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
我在 MySQL 数据库中有一个表,其中存储餐厅在每个工作日和时段提供的菜单。 表结构如下: i_type i_name i_cost i_day i_start i_
我有两页。 test1.php 和 test2.php。 我想做的就是在 test1.php 上点击提交,并将 test2.php 显示在 div 中。这实际上工作正常,但我需要向 test2.php
我得到了这个代码。我想通过textarea更新mysql。我在textarea中回显我的MySQL,但我不知道如何更新它,我应该把所有东西都放进去吗,因为_GET模式没有给我任何东西,我也尝试_GET
首先,我是 php 的新手,所以我仍在努力学习。我在 Wordpress 上创建了一个表单,我想将值插入一个表(data_test 表,我已经管理了),然后从 data_test 表中获取所有列(id
我有以下函数可以清理用户或网址的输入: function SanitizeString($var) { $var=stripslashes($var); $va
我有一个 html 页面,它使用 php 文件查询数据库,然后让用户登录,否则拒绝访问。我遇到的问题是它只是重定向到 php 文件的 url,并且从不对发生的事情提供反馈。这是我第一次使用 html、
我有一个页面充满了指向 pdf 的链接,我想跟踪哪些链接被单击。我以为我可以做如下的事情,但遇到了问题: query($sql); if($result){
我正在使用 从外部文本文件加载 HTML/PHP 代码 $f = fopen($filename, "r"); while ($line = fgets($f, 4096)) { print $l
我是一名优秀的程序员,十分优秀!